Docker、Containerd、安全容器运行时的对比
更新时间:2026-04-09
概述
CCE 支持 containerd、安全容器和 Docker 三种运行时。本文通过对比三种运行时的实现、使用限制和部署差异,帮助您根据需求场景了解并选择合适的容器运行时。
容器运行时实现和使用限制的对比
| 特性分类 | containerd 运行时 | 安全容器运行时 | Docker 运行时(已停止维护) |
|---|---|---|---|
| 集群类型 | 托管集群 独立集群 边缘集群 |
托管集群 独立集群 边缘集群不支持 |
托管集群 独立集群 边缘集群 |
| 集群版本 | 1.31 及以下版本 | 1.28 版本以上且 1.31 及以下版本 | 1.22 及以下版本 |
| 容器网络模式 | VPC-ENI VPC 路由 |
VPC-ENI | VPC-ENI VPC 路由 |
| 弹性网卡 | 共享弹性网卡:开启 DataPath v2、开启 Network Policy 支持 独占弹性网卡 |
仅支持共享模式下的 Network Policy 不支持开启 DataPath v2 功能 |
共享弹性网卡:开启 DataPath v2、开启 Network Policy 支持 独占弹性网卡 |
| Kube-proxy 模式 | IPVS IPTABLES |
IPVS IPTABLES |
IPVS IPTABLES |
| IPv6 双栈网络 | 支持 | 不支持 | 支持 |
| 节点类型 | BCC、BBC、EBC、HPAS 用户自有节点(边缘集群) |
仅支持 EBC 弹性裸金属服务器 | BCC、BBC、EBC、HPAS 用户自有节点(边缘集群) |
| 节点付费方式 | 包年包月 按量付费 抢占实例 |
包年包月 按量付费 |
包年包月 按量付费 抢占实例 |
| 节点套餐 | 支持所有套餐 | 仅支持 EBC 以下三种套餐:ebc.l5.c128m512.4debc.l7.c208m1024.2debc.l5.c128m512.1d |
支持所有套餐 |
| 节点架构 | x86 计算 异构计算 GPU / FPGA / NPU |
仅支持 x86 计算 | x86 计算 异构计算 GPU / FPGA / NPU |
| 节点处理器 | Intel AMD |
仅支持 Intel | Intel AMD |
| 节点操作系统 | Baidu Linux、CentOS、Ubuntu、Rocky Linux 等公共镜像 | 仅支持公共镜像 Baidu Linux 3 | Baidu Linux、CentOS、Ubuntu、Rocky Linux 等公共镜像 |
| 容器引擎 | containerd+runc |
containerd+kata |
docker |
| Pod 调度 | 无需配置 | 需要配置 runtime class | 无需配置 |
| HostNetwork | 支持 | 不支持 | 支持 |
| 容器 RootFS | OverlayFS | OverlayFS | OverlayFS |
| 容器日志采集 | 文件采集:支持 标准输出采集:支持 |
文件采集:不支持 标准输出采集:支持 |
文件采集:支持 标准输出采集:支持 |
| 网络 Ingress | 应用型 BLB ingress nginx ingress |
仅支持应用型 BLB ingress | 应用型 BLB ingress nginx ingress |
| 弹性伸缩 | 水平伸缩 定时水平伸缩 |
仅支持水平伸缩 | 水平伸缩 定时水平伸缩 |
| 故障诊断 | Pod 诊断 节点诊断 |
不支持节点诊断 | Pod 诊断 节点诊断 |
| 巡检与检查 | 集群巡检 集群检查 |
不支持 | 集群巡检 集群检查 |
| 存储 | 存储卷声明 存储卷 存储类 |
不支持 | 存储卷声明 存储卷 存储类 |
说明:
- 不支持同一节点同时部署 Docker 和安全容器两种运行时。您可创建不同节点组,实现 Docker 运行时节点和安全容器运行时节点的混合部署。
- 安全容器底层基于
kata实现。通过kubectl get node或控制台节点列表查看安全沙箱节点信息时,其节点运行时将显示为kata。��为kata。
评价此篇文章